安全网络论文大全11篇
时间:2023-03-23 15:11:55
安全网络论文篇(1)
(一)治理法律依据供给不足
20多年来,从立法机关到国务院及有关部委、最高人民法院和最高人民检察院,一直都十分重视利用法律法规治理有害信息,也制定了一些相关的法律法规,包括:全国人大常委会的决定,即《关于维护互联网安全的决定》和《关于加强网络信息保护的决定》;数项国务院的行政法规,如《中华人民共和国计算机信息系统安全保护条例》、《信息网络传播权保护条例》等;多项部门的规章,如《计算机信息网络国际联网安全保护管理办法》等;多项最高人民法院和最高人民检察院的司法解释,如《关于依法严厉打击编造、故意传播虚假恐怖信息威胁民航飞行安全犯罪活动的通知》、《关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》、《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等;其他法律中直接或者间接涉及网络信息安全的规定,如《中华人民共和国刑法修正案(七)》第9项规定、《中华人民共和国侵权责任法》第36条及第22条的规定等。从形式看,我国关于网络安全、网络有害信息治理的立法已经具有一定的数量和规模,并构成了较为系统的层级和体系。但实际上,我国关于有害信息治理的法律依据仍然呈现出供给不足的状态。这种供给不足体现为治理法律依据仍然不完善,缺乏专门性、权威性、系统性的法律体系。其中最突出的问题是在法律层面仅有宣示意义的“决定”,缺乏操作性强、结构合理、内容完善的相关部门法律或基本法律;在相关的法律、法规、司法解释中,并没有专门明确针对有害信息的立法,有害信息的治理被混同在网络安全维护以及网络知识产权、名誉权保护等相关立法中,还未形成一个有效的法律体系,未能为有害信息的治理提供充分的法律依据。如近期公安部门针对网络谣言进行了专项治理,多名“网络大V”被司法机关以“寻衅滋事”等罪名追究刑事责任,这一方面对有害信息的传播和蔓延起到了积极的遏制作用,同时也引发了关于寻衅滋事罪是否被扩大使用,是否违背罪刑法定原则的争论。尽管最高人民法院、最高人民检察院联合了《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》,但相关的法律争议仍然没有得到完全的解决。从此实例我们可以看到,我国目前对于有害信息治理的法律依据还是显得捉肘见襟,更多的时候是临时的应对,缺乏以一部高层级的、专门性的法律为统摄的完善的有害信息治理法律体系。
(二)治理体制碎片化
在法律法规资源得到保障后,应着力建立健全相关的执法机制。但长期以来,条块分割的行政运作方式,严重地制约着我国政府在有害信息管理权限和职能方面作用的发挥,特别是互联网治理中的“九龙治网”已成为低效管理的一个缩影。我国涉及网络信息管理的部门及分工情况主要为:对互联网意识形态工作进行宏观协调和指导;国家互联网站管理工作协调小组(挂靠在工信部)和国家互联网信息办公室(与国家新闻办公室为“两块牌子一套班子”的关系)先后成立,其中国家互联网站管理工作协调小组负责协调各成员单位对网络文化实施齐抓共管,国家互联网信息办公室负责落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理,并负责网络新闻业务及其他相关业务的审批和日常监管;工信部负责互联网行业管理工作;文化部负责部分互联网文艺类产品的前置审批工作以及其进口内容的审查,负责对网吧等上网服务营业场所实行经营许可证管理,并开展“网络文化”专项活动等工作;公安部负责落实防范木马、病毒,网络攻击破坏等的技术安全措施,打击网络犯罪活动;广电新闻出版总局负责信息网络视听节目服务的审批和内容监管、数字出版与网络出版监管;国务院新闻办公室承担网络文化建设和管理的有关指导、协调和督促等工作;教育部负责高等学校网络文化建设与管理工作;工商总局负责网络文化产业的工商登记、网络广告审查登记;等等。上述多部门齐抓共管的网络有害信息管理体制一方面促进了网络管理体制的完善,另一方面也暴露了网络管理体制碎片化的弊端。网络管理体制的碎片化,容易导致在有害信息的治理过程中遇到利益各个部门相互争利,遇到问题相互扯皮、推诿塞责的情况,同时带来的一个更重要的问题是导致针对网络文化管理执法的分散性大,执法力度降低,难以有效控制整个网络文化环境,也难以应对网络文化迅速发展中可能出现的各种违法违规、危害社会和国家安全的行为。此外,管理体制条块化还突出表现在国家层面缺乏具有权威性、强有力的管理机构,这也是当前信息化管理体制存在的根本问题。2014年2月27日,中央网络安全和信息化领导小组成立,其办公室的设立则有望从体制和机制上解决多头管网、分散管网和网络治理软弱的局面。
(三)治理手段尚未形成合力
从我国目前网络有害信息的治理实践来看,治理手段偏向单一,各种治理手段无法形成合力:在国家管制、市场主体自律、社会监督、国际合作等各种手段中,通常过于偏重国家管制;而在国家管制的过程中,各种法律手段的综合适用明显不足。例如,在法律手段的使用方面,应当是民事、行政、刑事并重,但实际上对一些传播网络有害信息的违法行为从重追究行政责任、刑事责任已成为近年来有害信息执法的一个突出趋向。例如,近期处理的“快播公司涉嫌传播物品牟利案”,监管部门对快播公司处以了2.6亿元的巨额罚款。行政责任、刑事责任的任意使用,在合法性、透明性方面引发了不小的社会争议,甚至被指责为“选择性执法”[11]。此外,从其他手段的综合适用方面看,存在过于偏重国家行政管制的倾向,在治理实践中过多采取“突击式”、“运动式”的方式。由于网上舆情事件多发,各级政府部门出于维稳的压力,首先考虑和选用的是高效的行政手段,尤其在我国,行政管理力量对社会各个层面的控制力较为强大,容易在短时间内集中力量对专项问题进行治理。政府管制的手段形式可以短期内迅速处理一些突发事件和典型案例,达到应急的效果,但网络社会具有高度开放性、交互性和流动性特征,会使新情况、新问题层出不穷,单一的政府管制手段也会顾此失彼。而且由于行政手段自身具有的主动性、强制性等特点,在当前我国对于行政权的使用还缺乏全面规范的情况下,容易导致其自身被过度使用。例如,前几年,相关部门对于容易滋生网络有害信息的网吧采取了铁腕管制的手段,对网络公共信息服务场所进行清查,部分地方甚至一夜之间关闭所有网吧。类似做法反映出我国在有害信息治理过程中仍过多倚重单一的政府管制,各种治理手段之间并未形成合力。
二、互联网有害信息依法综合治理的实现
对目前治理网络有害信息过程中存在的治理法律依据不足、治理体制碎片化、治理手段尚未形成合力等问题,我们应当在治理过程中有针对性地坚持依法综合治理的基本原则。这一原则的实现需要法律、技术、体制方面的基础保障,也需要在法治框架内,综合适用多种法律手段,发挥国家管制、市场自律、社会监督、国际合作多种途径的协同作用。上述依法综合治理的具体措施,正是对当前有害信息治理过程中存在的问题的有力回应。
(一)加强基础保障
在网络有害信息的治理过程中,有一些基础保障是无论我们依循何种途径、采取何种手段都是不可或缺的,这些保障主要包括法律、技术和体制保障。1.法律保障法律保障是实施网络有害信息治理的前提条件,也是依法综合治理的题中之义。目前,我国网络有害信息治理的法律保障已形成了一定的体系。今后需要进一步加强的方面主要是:第一,加强专门性法律的制定。原有相关立法在治理有害信息方面虽然起到了积极作用,但对有害信息的治理更多地带有附带性、应急性的特点,为了更有针对性、更有效地实现网络信息的依法综合治理,应当制定《网络安全法》、《个人信息保护法》等专门性法律,并在这两部法律的基础上,修订整合已有的法律、法规、规章以及司法解释,建立起指导思想先进、法律原则明确、制度设计合理、执法机构健全、行政执法有力、司法审判公正的网络安全法治体系,从根本上改善目前较为被动和分散的有害信息治理立法状况,使得“依法治国”的理念在互联网领域、在人们的“虚拟空间”得以落实和体现;第二,在专门性法律中明确网络有害信息的治理问题。在已有的专门性立法中,只有少数条文通过列举式规定明确提及“有害信息”。①但是,类似对网络有害信息进行明确列举或概括的法律规定仍较少,操作性不强,从而导致网络有害信息的治理并未形成系统的法律依据。因此,在今后的专门性立法中,应当明确界定网络有害信息,并通过专门条款以及援引性条款建立治理网络有害信息的法律规范体系;第三,建立网络实名制、内容分级制、内容审查制、网站注册制、绿色网站税收优惠制等有利于促进网络有害信息治理的基础法律制度[12]。2.技术保障当前网络治理方面的技术性立法是以计算机病毒防治为中心,相关立法则以《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》(公安部令[第51号])为代表。但有害信息的传播也同样具有很强的技术性,而且无论通过管制、市场自律还是社会监督等手段进行有害信息治理,技术保障都是重要的基础条件。因此治理有害信息必须从立法方面对相应的技术支持做出规定,促进“以技术对技术”的有害信息治理的实现。有害信息治理技术的核心是有害信息的发现技术。发现技术包括主动发现和被动防御两种方式,主动发现的方式主要指基于搜索引擎的有害信息主动监测,被动防御的方式则以网络内容过滤和封堵为主。借助网络有害信息的发现机制,可以通过有效的技术手段对网络有害信息进行监测、过滤、屏蔽,以使其难以在网络上传播,从而达到净化网络的目的[13]。目前,许多国家均实施了内容过滤政策:例如,欧盟采取技术措施处理有害内容,增强过滤软件和服务的实际效果,确保用户对信息的选择接受权利;日本总务省与NEC共同开发过滤系统,防堵有关犯罪、色情与暴力的网站;美国的中小学如今都对学校的电脑实行联网管理,集中对那些影响儿童身心发育的网站进行屏蔽;新加坡等“严格限制媒体”的国家公开列出一些网站和需要过滤的关键词,强行要求网络服务提供商(ISP)进行封堵[12]。由此可见,用技术手段为治理网络有害信息提供技术支持,是实现有害信息有效治理的基础保障之一,也是很多国家在治理网络有害信息过程中的普遍经验。技术保障应当通过法律保障得到具体体现。3.体制保障法律保障、技术保障作用的发挥还必须建立在有效运转的体制保障之上。有害信息综合治理的保障体制应当是国家主体、行业主体、市场主体以及社会主体协同共治的综合机制,各个主体在依法治理的框架内独立行使自己的治理权限、平等互动、协同作用。虽然法律可能会赋予某个主体,通常是管制主体更多的职能,但这并非意味着管制主体就相较其他主体具有更高的法律地位。平等主体的参与及协同共治,是“治理”的核心要求。网络有害信息的体制保障的强化,既要从管制方面入手,也要从市场、行业、社会等方面入手。随着中央网络安全和信息化领导小组的成立,集中高效的管制机制得到加强,但市场、行业、社会参与的机制仍需加强。单一的管制即便暂时能带来有害信息治理的成效,但肯定无法长效,更不可能真正公正、规范,因为管制主体权力过于集中,缺乏监督,最终必然发生异化和寻租等现象。要改变这一情况,就必须通过立法确立和完善国家主体、行业主体、市场主体以及社会主体综合治理的体制,尤其是要减弱行业主体、市场主体以及社会主体对国家主体的依附,赋予这些主体更多的自治权和监督权。此外,就国家主体层面的管理体制而言,应当有常设的、具体的国家机关专司其职(作为行政管理和执法机构,而非单纯协调机构,享有部级权限),由其他机关依法予以协助,同时应避免机关之间权责不清的情况发生;网络的无国界性、跨地域性,决定了其依法管制应该由中央主导、地方配合、国际协作,而不是各地“分而治之”;在中央层面,要着重管法规和政策、管主要网站、管传播性广且煽动性强的有害信息、管执法效果和权力,促进各方利益平衡。
(二)综合适用多种法律手段
有害信息的依法综合治理,总体上包括国家管制、市场主体自律、社会监督和国际合作等多种途径的协调作用;而单就国家管制而言,也涉及依法综合适用各种法律手段的问题,即在对有害信息实施国家管制的过程中,应当综合适用民事、行政、刑事等多种法律手段,尤其是要强化民事赔偿、行政处罚、刑事打击的协同作用。《关于维护互联网安全的决定》第2至第5条分别列举了相关的有害信息违法行为,并同时规定,构成犯罪的,依照刑法有关规定追究刑事责任;第6条则规定了相应的行政手段和民事手段,即“利用互联网实施违法行为,违治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分;利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任”。由此可见,综合适用多种法律手段治理有害信息,是现有立法的基本精神,也是将来立法、执法、司法需要强化的重点。首先是刑事打击。刑事手段在网络有害信息的治理过程中应发挥积极作用。其法律依据主要是《关于维护互联网安全的决定》和《刑法》。其中《关于维护互联网安全的决定》对应当追究刑事责任的网络有害信息相关犯罪行为进行了一般性的列举,主要包括三大类型:第一,利用维护计算机信息网络危害国家安全和社会稳定类型的犯罪。具体包括利用互联网造谣、诽谤或者发表、传播其他有害信息,;煽动颠覆国家政权、社会主义制度,或者煽动分裂国家、破坏国家统一;利用互联网煽动民族仇恨、民族歧视,破坏民族团结;利用互联网组织组织、联络组织成员,破坏国家法律、行政法规实施。第二,利用计算机信息网络危害社会主义市场经济秩序和社会管理秩序类型的犯罪。具体包括利用互联网销售伪劣产品或者对商品、服务作虚假宣传;利用互联网损坏他人商业信誉和商品声誉;利用互联网侵犯他人知识产权;利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息,在互联网上建立网站、网页,提供站点链接服务,或者传播书刊、影片、音像、图片。第三,利用计算机信息网络危害个人、法人和其他组织的人身、财产等合法权利类型的犯罪。具体包括利用互联网侮辱他人或者捏造事实诽谤他人,利用互联网进行盗窃、诈骗、敲诈勒索[14]。对上述行为应当结合《刑法》有关煽动颠覆国家政权罪、煽动分裂国家罪以及制作、复制、传播物品牟利罪、传播物品罪、罪、诈骗罪、敲诈勒索罪等的规定追究刑事责任。《关于维护互联网安全的决定》中虽然还列举了另外一些与网络信息有关的犯罪行为类型,但却未必与有害信息有关,如通过互联网窃取、泄露国家秘密、情报或者军事秘密,非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密,以及危害计算机信息网络运行安全类型的犯罪(包括侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害,违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行);等等。这些犯罪行为并不是本文讨论的调整对象。此外,《刑法修正案(三)》则规定了编造、故意传播虚假恐怖信息罪;为了遏制在信息网络上捏造事实恶意损害他人名誉的网络诽谤行为,2013年9月9日,最高人民法院、最高人民检察院联合了《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(法释〔2013〕21号),针对备受关注的利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等刑事案件的法律适用问题进行规定[15]。全国人大常委会的决定,加上《刑法》及其修正案以及刑事司法解释,为有害信息的刑事打击构建了立体化的法律依据。但是,在刑事法律责任的追究过程中,也还存在应急性、政策化的立法倾向。今后,应转变当前有害信息治理中为追求示范效应而过度使用刑事手段的做法,能依据原有法律规定进行处理的则不必应急性“造法”,可以通过民事、行政手段达到遏制网络有害信息违法行为的,则不一定要扩大化地适用刑事手段;此外,也可以在对网络有害信息违法行为进行系统的类型化基础上,通过刑法修订增加新罪名。例如,我国现行刑法或司法解释有关虚假信息的罪名都是针对特定的对象(如编造、故意传播虚假恐怖信息罪),或将虚假信息相关行为作为实现其他目的的手段之一(如诈骗罪、寻衅滋事罪),而缺少一个专门的罪名规制一切具有严重社会危害性的编造、传播虚假信息的行为,当然也包括利用互联网销售伪劣产品或者对商品、服务作虚假宣传,利用互联网损害他人商业信誉和商品声誉,利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息。①因此,可以增设专门的编造、传播虚假信息罪[16],从而在一定程度上提高有关有害信息刑法规定的科学性、易操作性,并保证刑事责任追究的谦抑性、严肃性。其次是行政处罚和其它行政执法手段的运用。《行政处罚法》、《行政强制法》以及《关于加强网络信息保护的决定》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规对涉及有害信息行政违法行为的行政处罚方式和其它行政执法的手段做出了规定,其中应用较多的主要是警告、罚款、查封场所、责令停业、吊销许可证等。应适用行政责任的有害信息相关行为类型主要包括:利用维护计算机信息网络危害国家安全和社会稳定类型的行政违法行为;利用计算机信息网络危害社会主义市场经济秩序和社会管理秩序类型的行政违法行为;利用计算机信息网络危害个人、法人和其他组织的人身、财产等合法权利类型的行政违法行为。其行为类型与前述的刑事违法行为基本一致②,只是在情节、行为后果的社会危害性、违法性质等方面存在差异。今后在《网络安全法》的制定或相关行政法律责任法律法规的完善中,可以仍通过援引性规定为网络有害信息的管制提供有力手段,但同时应当注意细化这些手段在有害信息管制过程中的具体标准和程序,遵循形式合法、措施必要、后果最少侵犯公民权利、程序正当等原则[17];在强化行政处罚的同时,也可以适当增加“约谈”、激励和引导性质的税收政策等更柔性和多样的执法手段,避免过度执法。例如,美国在1998年底通过《网络免税法》规定政府在两年内不对网络交易服务科征新税或歧视性捐税,但如果商业性提供17岁以下未成年人浏览、实际或虚拟的,缺乏严肃文学、艺术、政治、科学价值等成人导向的图像和文字,则不得享受网络免税的优惠[12]。类似的间接行政管制手段也应当在我国的立法中予以借鉴。此外,还应当注意的是,除了加大对网络服务提供商以及个人的行政处罚和其它行政责任外,对监管部门在网络有害信息治理过程中的违法失职行为,同样应当追究其行政责任。最后是民事赔偿。对有害信息侵权,应当积极依法追究加害人的民事责任,尤其是民事赔偿责任。适用民事赔偿责任的行为类型主要涉及利用计算机信息网络危害社会主义市场经济秩序和社会管理秩序,利用计算机信息网络危害个人、法人和其他组织的人身、财产等合法权利这两大类型的民事违法行为。具体包括利用互联网销售伪劣产品或者对商品、服务作虚假宣传;利用互联网损坏他人商业信誉和商品声誉;利用互联网侵犯他人知识产权;利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;利用互联网侮辱他人或者捏造事实诽谤他人等行为。除民事赔偿外,停止侵害、消除影响、恢复名誉、赔礼道歉等也是网络有害信息治理中经常适用的民事责任形式。民事赔偿和其它民事责任的运用,更能防微杜渐,预防有害信息违法行为的后果扩散,使得有害信息管制成本更低。例如,最近上海市宝山区人民法院审理了一起微博名誉侵权案,被告在微博上对他人进行侮辱、谩骂、嘲讽评论,并对微博相册中的照片随意丑化,被判侵犯原告名誉权,判决其停止侵害,删除侮辱、嘲讽、谩骂的文字和图片,并赔偿经济损失2250元和精神损失1000元。该类型的案件对于警示类似有害信息侵权行为将起到积极的效果。为了更好发挥民事责任手段在遏制信息网络侵权(包括利用有害信息侵权)中的作用,最高人民法院制定了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号),该规定划定了个人信息保护的范围,明确了利用自媒体等转载网络信息行为的过错认定及相关责任,对“网络三手”(网络打手、网络推手、网络黑手)的违法行为中涉及侵害他人人身权益者规定了侵权责任,同时对利用信息网络侵害人身权益的违法行为设定了50万元财产损失赔偿限额。法释〔2014〕11号的规定为对利用信息网络侵害人身权益的违法行为追究民事责任提供了具体依据,尤其是通过民事赔偿责任条款的细化提高了侵权行为的成本,在一定程度上可起到鼓励被侵权人依法维权,遏制侵权人利用网络侵害他人人身权益的积极作用。该司法解释与《侵权责任法》相关条款共同形成了有关利用信息网络侵权法律问题的裁判规则体系,将为维护网络人身权益、净化网络环境、促进网络信息健康有效传播和利用提供有力的法律依据。
(三)培育法律框架内的市场主体自律
依法综合治理就意味着不能单一依靠管制手段,同时也要依靠行业、企业、公民等市场主体的自律[18]。因为管制手段虽然可以在一定程度上消除市场的外部性,但是也存在成本高、容易受到管制对象抵制或俘虏(capturetheoryofregulation)[19]、不具备长效性等缺陷,而市场主体出于社会责任、声誉等原因,通常也会在一定程度上采取自律措施。自律路径包括行业自律、企业自律和公民自律三个层面:第一,行业自律。就行业自律来说,主要是指依托于行业组织进行的自律。目前全国性的行业组织主要是中国互联网协会。该协会业务主管单位是工业和信息化部,现有会员400多个,省市协会31个。该协会的职能主要是发挥行业自律作用,维护国家网络与信息安全、行业整体利益和用户权益等。为加强网络有害信息的治理,协会成立了直属的投诉咨询部(12321网络不良与垃圾信息投诉受理中心),并在下属的专业委员会中设立了行业自律工作委员会、反垃圾邮件工作委员会、网络与信息安全工作委员会;此外,协会还制定了一系列相关的自律公约和倡议书,包括《互联网搜索引擎服务自律公约》、《“积极传播正能量,坚守‘七条底线’”的倡议》、《中国互联网协会抵制网络谣言倡议书》、《互联网终端软件服务行业自律公约》、《中国互联网协会反垃圾短信息自律公约》、《博客服务自律公约》、《文明上网自律公约》、《搜索引擎服务商抵制违法和不良信息自律规范》、《互联网站禁止传播、色情等不良信息自律规范》、《互联网新闻信息服务自律公约》[20]。这些行业自律工作,为促进良好的社会、行业风尚形成,促进相关法律法规的实施,起到了积极的作用。但总体而言,在行业主体方面,其性质上仍然带有明显的官方色彩,组织体系和行业自律手段过于单一,在维护行业整体利益和用户利益方面的作用发挥还不明显。为强化有害信息治理的行业体制保障,应进一步扶持真正具有行业性、多层次的行业主体,并建立相应的行业惩戒和奖励机制。第二,企业自律。就企业自律来说,主要是指各类营利性的从事互联网运营服务、应用服务、信息服务、网络产品和网络信息资源的开发、生产以及其他与互联网有关的服务活动的企业开展的自律活动。上述企业中规模较大、行业知名度高的企业往往同时也是中国互联网行业协会的会员单位,在行业自律的过程中也发挥着积极作用。同时,部分企业也会从履行社会责任、维护自身形象和声誉、为用户提供健康的信息和服务的角度出发,在企业内部建立治理有害信息的内控机制。例如,国内最为知名的网络媒体公司之一———新浪公司,就通过建立自律专员制度对网络上存在的有害信息和不良风气实施内部监督,提出改进建议;此外,自律专员还将定期搜集社会各界对新浪的意见和建议,并对投诉情况进行总结分析并提出改进建议;针对高速发展中的新浪微博,新浪建立了微博辟谣机制,并组建了专门的微博辟谣团队,以此避免虚假信息的传播[21]。这些自律方式可以作为经验在行业内部进行推广。国家网信办成立之后,也积极倡导企业自律,并召开了跟帖评论管理专题会,组织29家网站签署了《跟帖评论自律管理承诺书》,其中对跟帖的管理主要侧重于各类网络有害信息[22]。第三,公民自律。网络空间总体而言是一个共同空间,是虚拟的“现实社会”,不是“法外之地”,个人应对其言行负责。应当通过宣传教育使公民个人意识到,网络环境是自己生存和生活环境的一部分,不制造、传播有害信息,自觉抵制有害信息,做推进网络法治的正能量者。同时,由于网络的传播放大功能,网上言论产生的影响力远远大于日常生活中的现实言论,因而在网络空间中更需要“谨言慎行”。依法治理有害信息,不仅仅是立法、行政和司法部门的事,而是关乎一个国家全体人民利益的大事。
(四)促进社会监督法治化
除国家管制、市场主体自律之外,社会监督也是有害信息治理的有效方式。社会监督是指无法定监管职能的社会团体、组织和公民个人以批评、建议、检举、申诉、控告等方式对网络有害信息进行的监督,主要包括公民监督、社会团体监督以及舆论监督。各个市场主体既是社会监督的主体,同时也是社会监督的对象。充分发挥社会监督的作用,使有害信息置于无时不在、无处不在的监督之中,可以降低有害信息治理的成本、提高治理的针对性和效果。如英国在有害信息治理过程中就特别强调“监督而不非监控”的理念[23]。加强有害信息的社会监督,至少需要在两个方面下功夫:一方面,应当通过立法一般性地确认社会团体、组织和公民对有害信息的监督权。有害信息社会监督的法律依据可以间接地从《宪法》、《刑事诉讼法》、《关于加强网络信息保护的决定》中找到零星依据,但这些依据并不完全具有针对性且非常零星、分散。例如,《宪法》第41条规定的公民检举权针对的是国家机关及其工作人员的违法失职行为,《刑事诉讼法》第84条第1款规定的是单位和公民对犯罪的举报权利和义务,《全国人大常委会关于加强网络信息保护的决定》第9条规定了任何组织和个人对信息违法犯罪行为的举报和控告权。另一方面,应将有害信息的社会监督权制度化,尤其是要完善以网络有害信息举报制度为核心的社会监督机制。在网络有害信息的举报机制构建方面,应建立举报受理、举报管理、举报调查和处理、举报反馈、举报保障(包括保密、防打击报复、补偿和赔偿制度)、举报激励、不当举报制约等各个环节的相关制度[24]。在举报受理环节,应公开统一的举报受理主体并确立首问负责制,避免相关举报被推诿处理。在这方面,很多网络大国都采取了类似的做法,例如欧盟在打击非法内容方面的主要措施是建立市民热线,公众通过热线汇报非法内容,然后由热线网络将相关信息报告各主管部门[12]。目前很多国家基本都设有相关的投诉举报机制,并通过多种渠道方便各领域用户使用,大大提高了工作效率。这方面的经验值得借鉴和推广。(五)扩大国际法律合作由于网络信息具有即时流动性和跨国性,同时网络服务提供者还可以通过租用海外服务器的方式逃避国内的监管,因此很多网络行为都是无国界或可以便捷地跨越国界的。一个国家法律再完善、机制再健全,也不可能仅以一国之力、在一国之内完全实现有害信息的治理。因此,国际合作也是有害信息治理必不可少的环节:第一,开展网络安全的国际对话与合作。我国政府非常重视信息安全的国际合作,并积极参与和推动信息安全国际合作的进程:包括举办“中美互联网论坛”、“中英互联网圆桌会议”等对话活动,积极沟通,增进互信,促进互联网安全;此外,国际层面的协作也在不断加强:2003年12月在日内瓦召开了“第一届信息社会世界峰会”,形成并颁布了关于网络问题的《原则宣言》和《行动计划》。2005年11月在突尼斯又召开了“第二届信息社会世界峰会”,共有174个国家参加,形成并颁布了《突尼斯信息社会议程》。第二,推动国际网络安全立法,强化治理有害信息的国际合作。我国政府与俄罗斯、塔吉克斯坦、乌兹别克斯坦等国一起向联大提交了《信息安全国际行为准则》,该行为准则的第2条第(三)项提出,各国应“合作打击利用信息通信技术包括网络从事犯罪和恐怖活动,或传播宣扬恐怖主义、分裂主义、极端主义的信息,或其他破坏他国政治、经济和社会稳定以及精神文化环境信息的行为。”[25]该项准则将“破坏一国政治、经济和社会稳定以及精神文化环境信息的行为”作为各国合作打击的对象,实际上较为全面的涵盖了通常意义上的“网络有害信息”及相关行为。该准则或类似的准则如果能转化为国际立法,将为国际社会合作治理有害信息提供有力的法律依据。当然,在统一的国际规则尚未形成之前,也应积极推动多边或双边协议的签订。第三,加强国际司法合作。由于网络有害信息具有流动性、跨界性的特点,很多色情、、诈骗等有害信息的信息来源地与信息传播地、接受主体所在地不处于同一国家,对这些与有害信息相关违法行为的认定、取证、管辖、和审判、执行等,都会涉及到国际司法合作。例如,很多涉及色情、、诈骗等有害信息的网站服务器是设在境外的,而这些国家对于色情、以及诈骗的立法与我国并不完全相同,因此我国在治理有关有害信息时,只能在国内对这些网站进行屏蔽,禁止境内用户访问该类网站,但是不能关闭这些服务器[26]。此外,寄生于有害信息中的有害数据和程序也对我国的网络安全造成了严重的危害。例如,仅2013年11月,境外木马或僵尸程序控制境内服务器就接近90万个主机IP,侵犯个人隐私、损害公民合法权益等违法行为时有发生。由此可见,国际司法合作是网络有害信息依法综合治理的重要环节。应当在尊重各国、尊重各国文化的基础上,通力进行司法合作,真正实现网络有害信息的综合治理。
安全网络论文篇(2)
美国首次将网络安全置于恐怖主义之前,列为美战略安全最突出问题。美国虽网络实力超强,但对网络的依赖也最大,面临来自其他国家和非国家实体的网络攻击多重威胁,因此在以网络为抓手全面巩固其政治、军事、经济霸权的同时,也对包括我国在内主要国家网络能力发展日益焦虑。奥巴马上任不到4个月,就将网络战争视为“最严重的经济和国家安全挑战之一”,承认网络战争“从理论走向实战”[1]。美国相继发表《网络空间国际战略》、《网络空间行动战略》、《网络空间政策报告》、《国家网络作战军事战略》等政策文件,将网络空间治理重点“从国内扩展到国际”、“从被动防御转向武力报复”以构建全球网络霸权。美国又启动“大数据研发计划”将其定义为“未来的新石油”,视数据为继边防、海防、空防后的又一大国博弈空间。英、法、德也分别出台了《新版英国网络安全战略》、《信息系统防御和安全战略白皮书》、《国家网络安全战略》等报告,明确将把网络空间威胁列为国家生存发展所面临的“第一层级”威胁和“核心挑战”网络安全被提升至国家战略高度,并视网络攻防建设与陆、海、空三军建设同等重要。在美国的背后支持下,北约网络防务中心也了《网络战适用国际法手册》,该手册是国际上首个就网络战适用国际法问题做出规范的文件,标志着网络战日益从“概念”走向“现实”,反映出网络安全正逐步上升为西方核心安全关切。
(二)网络空间军事化进程明显加快
美、英、德、俄、日、韩、印、澳等国相继组建网络部队,纷纷成立“网络司令部”或“网军”,加强信息战研究和投入,研究信息战战法和战略,研发的高破坏性“网络武器”已达千种之多,信息战已经成为美国等西方大国对我牵制遏制的重要手段和选择,我国面临的信息战威胁趋于上升。美国是网络战的先行者,在网络空间谋求压倒性军事优势,实现制网谋霸。美军网络司令部人数为8.87万人,通过启动“国家网络靶场”项目多次举行网络战演习,并注意在常规联合军演中注入网络战元素。美国还定期邀请英、法、韩等国参与“网络风暴”演习,加强多国间信息共享和危机联合处置能力。韩国组建200人组成的国防情报本部网络司令部。印度国防部拟在2017年前组建7个信息战旅和19个信息战营。日本提出建立以应对网络攻击为核心的组织机构并培养相关人才。此外,各国网络战策略也正发生由守转攻的变化,出现将网络攻击视为武装攻击的趋向。北约出台的《网络战适用国际法手册》明确提出网络战在现实中可能产生与实战相似的效果,并不因为发生在互联网上就不是战争,国际法同样适用于网络战。美日等国已明确表示将推进攻击型网络部队建设,必要时发动网络战争。值得关注的是,美、俄己开始发展“先发制人”的网络刺探与反制能力,强化网络战攻击手段,以实现“以攻代防”、“以攻促防”网络空间的攻防对抗更趋复杂严峻。
(三)围绕网络规则的国际斗争加剧
以美国为首的西方大国出于政治需要,把网络变成推行国家政策的工具,人为地夸大网络空间的整体性和开放性,引入“基本人权”概念,鼓吹“网络自由”、“人权”高于“”,借此否定国家“网络”。他们宣称现有国际法原则可适用网络空间,没有必要制定新准则,反对设立全球互联网治理机制,大力阻止由联合国等政府间国际组织介入互联网治理,声称监管网络有损言论自由,将削弱和抹杀技术创新,不利于保护知识产权。坚持网络规则应以由政府、私营部门、民间社会、消费者等组成的“多利益攸关方”模式共同制定,强调行业自律,真正实现互联网自由、开放、无界和安全。美国公布的《网络空间国际战略》就强调要力推美国网络“法治”观,互联网使用应顾及“法治、人权、基本自由和保护知识产权”,美国首先要同“立场相近国家”进行协调,确立舆论主导权,然后由点到面,逐步扩大国际合作,最终确立新的规则,以争夺“网络治理”的主导权和绝对控制权。为此,他们竭力推动各方加入欧盟的《网络犯罪公约》和“伦敦进程”等机制,企图在联合国框架外建立网络空间国际规则体系,来削弱甚至取代联合国主导的互联网治理论坛。广大发展中国家不满以美国为首的西方大国对互联网资源的垄断和控制,担忧网络监管不力可能破坏本国社会安定甚至危及国家安全。坚持政府对网络空间拥有管辖权,关注滥用言论自由特别是网络言论自由损害他人权力和尊严。呼吁建立多边、透明和民主的网络国际治理机制,强调发挥联合国等政府间国际组织在互联网治理方面的主导作用。中、俄及非洲、阿拉伯国家成功推动2012年国际电联国际电信世界大会将互联网发展、接入权及网络安全等问题纳入新修订的《国际电信规则》及有关决议,尽管美国及一些欧盟国家拒绝签署,但该规则对今后的互联网治理必将产生积极影响。总之,互联网日益渗透到人类生活的方方面面,政治、安全、经济、社会利益相互交织,已成为各国的必争之地。围绕网络安全问题,各主要大国之间、发达国家与发展中国家之间的冲突和矛盾必将长期存在。网络国际治理领域的斗争,也势将成为继气候变化之后以一个各国利益激烈博弈的新战场,其斗争的尖锐性、复杂性将更加突出。同时也要看到,网络安全面临的挑战和威胁具有全球性质,各国有着巨大的共同利益,国际社会对于网络空间国际合作的必要性也有普遍认识。围绕网络安全问题,近年来联合国、欧盟、20国集团、上合组织、金砖5国等多边合作及美与中俄印、中英等双边“基层”对话趋于活跃,反映了各国携手共同有效应对具有合作的巨大空间。
二、维护我国网络安全之对策
网络安全问题日益升温使我国信息网络管理与运用面临严峻挑战。我国互联网普及率近40%,博客用户超过2.94亿,微博用户超过3亿,2011年就有5.13亿网民和8.59亿手机用户,是全球互联网使用人口最多的国家,预计2014年我国即时通讯用户规模将达到6.3亿人。网民中年轻人占比高,20岁以下超过35%。但网络监管手段相对滞后,网络立法尚处起步阶段,有关法规条文不够明确。网络监管机制缺乏统筹协调,相关监管部门多是“分兵把守、各自为战”的信息安全防控思路已不适应网络空间安全威胁的新变化。硬件上我国自主研发的网络监管技术有限,专职从事网络舆论引导和监管的力量也严重不足,统一的国家电子政务内网平台和切实有效的信息安全保障体系还未形成,业务协同和信息共享工作亟待加强,我国信息技术创新和产业发展受到国外遏制与渗透,华为与思科、摩托罗拉之间的残酷竞争就是明证。摩托罗拉曾在2010年7月突然在美国控告中国深圳华为技术有限公司盗窃其商业秘密,半年后华为反击,摩托罗拉,理由同样是知识产权遭侵害,旨在阻止摩托罗拉非法向诺基亚西门子网络转移华为自主研发的知识产权。最后双方已达成和解,也证明之前所有有关华为侵权的指控毫无根据。华为经过与思科、摩托罗拉多年的斗争,终于学会了维护自身知识产权。网络安全问题已成为涉及我国战略安全和综合安全的重大课题,网络空间已成为大国博弈的新战场,利益冲突愈加激烈。我们既要充分认识网络安全形势的严峻性、复杂性和紧迫性,也要看到网络安全问题存在转“危”为“机”的空间,化挑战为机遇,加强战略谋划,内外兼顾,趋利避害,维护我国网络安全。
(一)做好网络安全问题的顶层设计
进一步增强忧患意识和前瞻意识,把维护信息网络安全工作放在国家安全工作的重要位置,将信息网络安全和监管纳入国家总体安全框架加以统筹谋划,尽快建立国家层面的网络安全领导机制。强化集中领导下的整体作战能力,加强统筹协调和资源整合,尽快从“分工负责、各司其职”的条块方式转变为“以网络对网络”的管理体系,形成合力。完善信息网络安全整体战略规划,研究制定《国家信息网络安全战略》,结合国际国内大局,谋划网络空间和网络安全的整体构想和具体举措,统筹兼顾在网络军备建设、社会稳定、技术创新、经济发展等诸多方面利益与挑战,为国防、外交等具体领域的战略提供政策指导。建立国家网络安全监控等技术平台,提升信息化统筹、保障、管控、运用能力。建立健全网络管理法律法规体系,加快相关立法步伐,对网络资源管理、网络信息服务、政府、组织和个人在网络中的权利及义务等做出明确规定,形成法律规范、行政监管、行业自律、技术保障、公众监督和社会教育相结合的信息安全保障体系。
(二)大力加强能力建设
安全层面,尽快掌握网络安全核心尖端技术,提升国防、外交、通信、金融、交通、能源等敏感领域网络系统抵御大规模网络攻击能力;积极推进网军能力建设,尽快形成信息战能力,形成威慑力。整合政府、军方、企业、民间等各种资源,建立健全社会综合性网络安全防护体系。经济技术层面,大力促进我国互联网产业发展,鼓励自主创新,提高核心竞争力,争取在新一代互联网根服务器、第四代无线网络通讯、物联网、云计算等前沿领域获得突破,打破西方技术垄断。人才层面,加强信息网络安全保障和网络战专业队伍建设,建立信息安全职业分类体系,培养具有全球竞争力的人才。加强互联网工作队伍建设,建立影响国家安全和社会稳定问题的网上监测、预警、引导、处突机制,加强对境内外反华网站的技术监控和封堵,提高对各种“翻墙”技术的防控和反制能力,掌握网上工作主动权。
(三)积极参与和影响网络空间国际规则的制定议程
抓住当前网络空间国际规则尚未成型的有利时机,争取主动,在国际上继续利用多边进程牵制西方,加强与发展中国家特别是“金砖国家”等新兴大国在网络治理中的协调与配合,高举“和平”旗帜,倡导“网络”,继续联合俄国等推动“信息安全国际行为准则”倡议,继续大力推动在联合国框架下制定全球性打击网络犯罪国际法律文件。坚持联合国在国际网络治理中发挥核心作用,同时以适当方式积极参与其他多边国际机制,包括伦敦会议后续进程,争取“话语权”,推动建立一个能够兼顾各方利益且符合网络社会基本特征的国际网络治理体系,防止有关合作被美西方劫持、操控,更好地维护我国家利益。
(四)加强与西方主要大国网络安全对话
西方主要大国网络实力超强,但网络安全并非高枕无忧,我国作为全球拥有网民数量最多和软硬件技术实力迅速增长的新兴大国,西方大国离不开与我国的协调合作,双方均需要维护网络空间安全有序运行,搭乘“网络快车”提升本国综合国力,存在利益汇合点。我国在与西方主要大国展开竞争,防范其网络威胁的同时,也应本着“以我为主、趋利避害”原则,继续通过现有对话机制与美西方等主要大国开展网络安全对话与磋商,突出双方合作面,增信释疑,逐步建立互信。可选取与我国双边关系发展较好大国如德国等,在打击网络犯罪等符合双方共同利益领域开展平等互利合作,化解以美国为首的西方大国对我国的联手施压,避免网络安全问题干扰破坏我国整体发展环境。
安全网络论文篇(3)
1创建独立安全局域网服务器
当前,我国较多局域网体系没有单独创建针对服务器的安全措施,虽然简单的设置可令各类数据信息位于网络系统中高效快速的传播,然而同样为病毒提供了便利的传播感染渠道。局域网之中虽然各台计算机均装设了预防外界攻击影响的安全工具,制定了防范措施,然而该类措施恰恰成为网络安全的一类薄弱环节。在应对局域网络内部影响攻击时,效果不佳,尤其在其服务器受到病毒侵袭影响,会令全网系统不良崩溃。为此,对其服务器独立装设有效防护措施尤为重要。我们应在服务器内部安装单独的监控网内系统、各类病毒库的实时升级系统,令其在全过程的实时安全监督、优化互补管控之下安全快速的运行。当发觉网内计算机系统受到病毒侵袭时,应快速将联系中断,并面向处理中心报告病毒种类,实施全面系统的杀毒处理。而当服务器系统被不良攻击影响时,则可利用双机热备体系、阵列系统安全防护数据信息,提升整体系统安全水平。
树立安全防范意识,提升应用者防毒水平
局域网产生的众多安全问题之中,较多由于内网操作应用人员没有树立安全防范意识,令操作失误频繁发生。例如操作控制人员没有有效进行安全配置令系统存在漏洞、或是由于安全防范意识不强,令外网攻击借机入侵。在选择口令阶段中由于操作不慎,或将自身管理应用账号随意的借他人应用,均会给网络安全造成不良威胁影响。另外,网络钓鱼也成为影响计算机局域网络安全的显著隐患问题。不法分子惯用该类方式盗取网络系统账号、窃用密码,进而获取满足其利益需求的各类重要资讯、信息,还直接盗取他人经济财产。一些网络罪犯基于局域网络系统资源信息全面共享的客观特征而采取各类方式手段实施数据信息的不良截获,或借助垃圾邮件群发、发送不明数据包、危险链接等诱导迷惑方式,令收信方进行点击,对于计算机局域网络系统的优质安全管理运行形成了较大的隐患威胁。为此,应用管理局域网人员应明晰自身责任重大性,以身作则,对于陌生人传输信息、不明邮件不应理睬,还可利用删除、截获、屏蔽、权限管控等手段阻断钓鱼者侵入通道,不给他们以可乘之机,进而净化网络环境。
3实施制度化的文件信息备份管理,预防不可逆损失
安全网络论文篇(4)
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
安全网络论文篇(5)
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
安全网络论文篇(6)
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
安全网络论文篇(7)
计算机网络工程是由通信线路、通信设备、计算机相互连接而构成的具有远程通信与远程数据传输等功能的数据通信和资源共享系统。计算机网络工程中无论是局域网、广域网、城域网或者是互联网都与网络工程硬件设备密不可分,其网络连计算机网络工程物理硬件设备安全问题涉及到两个方面,一方面是硬件功能是否正常工作方面的安全问题,另一方面是物理攻击方便的问题。在计算机网络完成数据通信和资源共享时,由于自然因素或者是人为因素造成硬件设备出现故障所导致不能正常应用的问题。物理攻击是黑客通过计算机硬件漏洞进行攻击,通过网络TCP/IP等硬件接口漏洞控制计算机BIOS以至于导致计算机出现死机、蓝屏、黑屏等问题。
1.2计算机网络工程系统安全问题
目前,计算机系统并不安全,常见的计算机系统漏洞主要包括:RDP漏洞、VM漏洞和UPNP服务漏洞等,并且计算机系统漏洞不断的被挖掘,这导致我们计算机应用安全面临着严重的威胁。
1.3网络病毒安全问题
计算机病毒是由编程人员在软件中或者是数据中插入破坏计算机系统及数据的代码,这类代码具有寄生性、隐藏性、传染性和潜伏性,常见的计算机病毒包括引导区病毒、文件寄生病毒、宏病毒、脚本病毒、蠕虫病毒、特洛伊木马等。
1.4黑客攻击安全问题
目前有一类专门针对于计算机网络进行攻击的犯罪人员,这类人可以分为两种,一种是以攻击和破坏他人网络系统和计算机,窃取他人机密数据为盈利目的,另一种是以破坏网络系统为乐趣,证明自身破坏能力,这两种人被统称为“黑客”。
2计算机网络工程安全对策
以技术手段进行计算机网络工程安全防范,首先需要建立计算机网络工程安全评估机制,利用系统工具对计算机网络工程漏洞进行扫描,计算机漏洞扫描一方面挖掘计算机网络工程可能存在的漏洞,另一方面可发现系统中的薄弱环节。计算机网络工程安全评估需要定期进行的,因为随着计算机应用的不断发展,计算机网络工程漏洞随时会增加,一次安全评估只能代表某一时刻的评估结果,也许下一秒就会出现新的漏洞。计算机网络工程安全评估机制建立。计算机网络工程安全评估可以依据已经发现的网络漏洞建立数据库进行比对扫描分析,漏洞数据库中包含了最新的已经发现的计算机网络工程漏洞,并且能够通过漏洞的关联性挖掘可能存在薄弱的环节,通过对漏洞的分析,作出相应的修补方案,并通过反复的试验最终修补漏洞,并重新做安全评估。于计算机用户疏于安全应用防范意识,导致个人信息被窃取或者是财产受到损失的事件时有发生,这主要是因为计算机用户对计算机网络的使用不够了解,对计算机网络漏洞认知度不够,一些用户认为计算机中安装了杀毒软件和防火墙就可以完全安全上网,对网络上的资源不认真辨别就进行下载,甚至认为如果遇到病毒杀毒软件和防火墙一定会替他拦截的,但是,一些高危的病毒和木马往往伪装成应用程序或者是依附于下载资源,杀毒软件和防火墙很难甄别,这就导致不法分子利用计算机的漏洞获取到用户的信息资源。因此,提高计算机用户自我防范意识是计算机漏洞处置措施中的重要环节,用户在下载或者安装软件过程中,要时刻警惕,安装软件过程中,一些选择性安装的插件如不需要无需勾选,如安装软件过程中发现问题,立即停止安装。在网络上下载资源时要到正规网站下载,如有提示“风险”谨慎下载。
安全网络论文篇(8)
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
三、PKI技术
PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1.认证机构
CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2.注册机构
RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
安全网络论文篇(9)
二、可信网络国内外研究
(一)可信网络国外研究
在可信网络的研究中,Clark等学者在NewArch项目的研究中提出了“信任调节透明性”(trust-modulatedtransparency)原则,他们期望在现实社会的互相信任关系能够反映在网络上。基于双方用户的信任需求,网络可以提供一定范围的服务,如果双方彼此完全信任,则他们的交流将是透明化、没有约束的,如果不是则需要被检查甚至是被约束。美国高级研究计划局出的CHAT(compostablehigh-Assurancetrustworthysystems)项目研究了在指定条件下运行如何开发出可快速配置的高可信系统及网络来满足关键的需求,其中包含了安全性、可生存性、可靠性、性能和其他相关因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)项目研究了以策略为中心的入校检测模型,他们利用模型去提高网络系统的可信性。但因为网络有着复杂基于信息异化下的信息安全中可信网络分析研究柳世豫,郭东强摘要:互联网逐渐成为我们生活中不可或缺的同时,其弊端也开始出现。未来网络应该是可信的,这一观点已成为业界共性的特点,如何构建可信网络是需要研究的。因此TCG先进行较为简单的可信网络连接问题。它将可信计算机制延伸到网络的技术,在终端连入网络前,开始进行用户的身份认证;若用户认证通过,再进行终端平台的身份认证;若终端平台的身份认证也通过,最后进行终端平台的可信状态度量,若度量结果满足网络连入的安全策略,将允许终端连入网络,失败则将终端连入相应隔离区域,对它进行安全性补丁和升级。TNC是网络接入控制的一种实现方式,是相对主动的一种网络防御技术,它能够防御大部分的潜在攻击并且在他们攻击前就进行防御。2004年5月TCG成立了可信网络连接分组(trustednetworkconnectionsubgroup),主要负责研究及制定可信网络连接TNC(trustednetworkconnection)框架及相关的标准。2009年5月,TNC了TNC1.4版本的架构规范,实现以TNC架构为核心、多种组件之间交互接口为支撑的规范体系结构,实现了与Microsoft的网络访问保护(networkaccessprotection,NAP)之间的互操作,他们将相关规范起草到互联网工程任务组(internationalengineertaskforce,IETF)的网络访问控制(networkaccesscontrol,NAC)规范中。如今已有许多企业的产品使用TNC体系结构,如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信网络国内研究
我国也有学者进行了可信网络的研究。林闯等进行了可信网络概念研究以及建立相关模型,提出网络可信属性的定量计算方法。期望基于网络体系结构自身来改善信息安全的方式来解决网络脆弱性问题,通过保护网络信息中的完整性、可用性、秘密性和真实性来保护网络的安全性、可控性以及可生存性。利用在网络体系结构中的信任机制集成,使安全机制增强,在架构上对可信网络提出了相关设计原则。闵应骅认为能够提供可信服务的网络是可信网络,并且服务是可信赖和可验证的。这里的可信性包括健壮性、安全性、可维护性、可靠性、可测试性与可用性等。TNC进行设计过程中需要考虑架构的安全性,同时也要考虑其兼容性,在一定程度上配合现有技术,因此TNC在优点以外也有着局限性。TNC的突出优点是安全性和开放性。TNC架构是针对互操作的,向公众开放所有规范,用户能够无偿获得规范文档。此外,它使用了很多现有的标准规范,如EAP、802.1X等,使得TNC可以适应不同环境的需要,它没有与某个具体的产品进行绑定。TNC与NAC架构、NAP架构的互操作也说明了该架构的开放性。NC的扩展是传统网络接入控制技术用户身份认证的基础上增加的平台身份认证以及完整性验证。这使得连入网络的终端需要更高的要求,但同时提升了提供接入的网络安全性。虽然TNC具有上述的优点,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性为基础面对终端的可信验证。但这种可信验证只能保证软件的静态可信,动态可信的内容还处于研究中。因此TNC接入终端的可信还处于未完善的阶段。
2.可信评估的单向性。TNC的初衷是确保网络安全,在保护终端的安全上缺乏考虑。终端在接入网络之前,在提供自身的平台可信性证据的基础上,还需要对接入的网络进行可信性评估,否则不能确保从网络中获取的服务可信。
3.网络接入后的安全保护。TNC只在终端接入网络的过程中对终端进行了平台认证与完整性验证,在终端接入网络之后就不再对网络和终端进行保护。终端平台有可能在接入之后发生意外的转变,因此需要构建并加强接入后的控制机制。在TNC1.3架构中增加了安全信息动态共享,在一定程度上增强了动态控制功能。
4.安全协议支持。TNC架构中,多个实体需要进行信息交互,如TNCS与TNCC、TNCC与IMC、IMV与TNCS、IMC与IMV,都需要进行繁多的信息交互,但TNC架构并没有给出相对应的安全协议。
5.范围的局限性。TNC应用目前局限在企业内部网络,难以提供多层次、分布式、电信级、跨网络域的网络访问控制架构。在TNC1.4架构中增加了对跨网络域认证的支持,以及对无TNC客户端场景的支持,在一定程度上改善了应用的局限性。我国学者在研究分析TNC的优缺点的同时结合中国的实际情况,对TNC进行了一些改进,形成了中国的可信网络连接架构。我国的可信网络架构使用了集中管理、对等、三元、二层的结构模式。策略管理器作为可信的第三方,它可以集中管理访问请求者和访问控制器,网络访问控制层和可信平台评估层执行以策略管理器为基础的可信第三方的三元对等鉴别协议,实现访问请求者和访问控制器之间的双向用户身份认证和双向平台可信性评估。该架构采用国家自主知识产权的鉴别协议,将访问控制器以及访问请求者作为对等实体,通过策可信第三方的略管理器,简化了身份管理、策略管理和证书管理机制,同时进行终端与网络的双向认证,提供了一种新思路。在国家“863”计划项目的支持下,取得了如下成果:
(1)在对TNC在网络访问控制机制方面的局限性进行研究分析后,同时考虑可信网络连接的基本要求,提出了一种融合网络访问控制机制、系统访问控制机制和网络安全机制的统一网络访问控制LTNAC模型,对BLP模型进行动态可信性扩展,建立了TE-BLP模型,期望把可信度与统一网络访问控制模型结合起来。
(2)通过研究获得了一个完整的可信网络连接原型系统。该系统支持多样认证方式和基于完整性挑战与完整性验证协议的远程证明,来实现系统平台间双向证明和以远程证明为基础的完整性度量器和验证器,最后完成可信网络连接的整体流程。
三、可信网络模型分析
(一)网络与用户行为的可信模型
可信是在传统网络安全的基础上的拓展:安全是外在的表现形式,可信则是进行行为过程分析所得到的可度量的一种属性。如何构建高效分析刻画网络和用户行为的可信模型是理解和研究可信网络的关键。这是目前网络安全研究领域的一个新共识。构建网络和用户的可信模型的重要性体现于:它只准确而抽象地说明了系统的可信需求却不涉及到其他相关实现细节,这使得我们能通过数学模型分析方法去发现系统在安全上的漏洞。可信模型同时也是系统进行研发的关键步骤,在美国国防部的“可信计算机系统的评价标准(TCSEC)”中,从B级阶段就需要对全模型进行形式化描述和验证,以及形式化的隐通道分析等。我们还需要可信模型的形式化描述、验证和利用能够提高网络系统安全的可信度。最后,构建理论来说明网络的脆弱性评估和用户遭受攻击行为描述等的可信评估,这是实现系统可信监测、预测和干预的前提,是可信网络研究的理论所有基础。完全安全的网络系统目前还无法实现,因此网络脆弱性评估的最终目的不是完全消除脆弱性,而是找到一个解决方案,让系统管理员在“提供服务”和“保证安全”之间找到平衡,主动检测在攻击发生之前,如建立攻击行为的设定描述,通过在用户中区分隐藏的威胁,以可信评估为基础上进行主机的接入控制。传统检测多为以规则为基础的局部检测,它很难进行整体检测。但我们现有的脆弱性评估工具却绝大多数都是传统基于规则的检测工具,顶多对单一的主机的多种服务进行简陋的检查,对多终端构建的网络进行有效评估还只能依靠大量人力。以模型为基础的模式为整个系统建立一个模型,通过模型可取得系统所有可能发生的行为和状态,利用模型分析工具测试,对整个系统的可信性评估。图2说明了可信性分析的元素。网络行为的信任评估包括行为和身份的信任,而行为可信又建立在防护能力、信任推荐、行为记录、服务能力等基础之上。
(二)可信网络的体系结构
互联网因技术和理论的不足在建立时无法考量其安全周全,这是网络脆弱性的一个重要产生因素。但是如今很多网络安全设计却常常忽略网络体系的核心内容,大多是单一的防御、单一的信息安全和补丁补充机制,遵从“堵漏洞、作高墙、防外攻”的建设样式,通过共享信息资源为中心把非法侵入者拒之门外,被动的达到防止外部攻击的目的。在黑客技术日渐复杂多元的情况下,冗长的单一防御技术让系统规模庞大,却降低了网络性能,甚至破坏了系统设计的开放性、简单性的原则。因此这些被动防御的网络安全是不可信的,所以从结构设计的角度减少系统脆弱性且提供系统的安全服务特别重要。尽管在开放式系统互连参考模型的扩展部分增加了有关安全体系结构的描述,但那只是不完善的概念性框架。网络安全不再只是信息的可用性、机密性和完整性,服务的安全作为一个整体属性被用户所需求,因此研究人员在重新设计网络体系时需考虑从整合多种安全技术并使其在多个层面上相互协同运作。传统的补丁而补充到网络系统上的安全机制已经因为单个安全技术或者安全产品的功能和性能使得它有着极大地局限性,它只能满足单一的需求而不是整体需求,这使得安全系统无法防御多种类的不同攻击,严重威胁这些防御设施功效的发挥。如入侵检测不能对抗电脑病毒,防火墙对术马攻击也无法防范。因为如此,网络安全研究的方向开始从被动防御转向了主动防御,不再只是对信息的非法封堵,更需要从访问源端就进行安全分析,尽量将不信任的访问操作控制在源端达到攻击前的防范。因此我们非常需要为网络提供可信的体系结构,从被动转向主动,单一转向整体。可信网络结构研究必须充分认识到网络的复杂异构性,从系统的角度确保安全服务的一致性。新体系结构如图3所示,监控信息(分发和监测)以及业务数据的传输通过相同的物理链路,控制信息路径和数据路径相互独立,这样监控信息路径的管理不再只依赖于数据平面对路径的配置管理,从而可以建立高可靠的控制路径。其形成的强烈对比是对现有网络的控制和管理信息的传输,必须依赖由协议事先成功设置的传输路径。
(三)服务的可生存性
可生存性在特定领域中是一种资源调度问题,也就是通过合理地调度策略来进行服务关联的冗余资源设计,通过实时监测机制来监视调控这些资源的性能、机密性、完整性等。但网络系统的脆弱性、客观存在的破坏行为和人为的失误,在网络系统基础性作用逐渐增强的现实,确保网络的可生存性就有着重要的现实意义。由于当时技术与理论的不足,使得网络存在着脆弱性表现在设计、实现、运行管理的各个环节。网络上的计算机需要提供某些服务才能与其他计算机相互通信,其脆弱性在复杂的系统中更加体现出来。除了人为疏忽的编程错误,其脆弱性还应该包含网络节点的服务失误和软件的不当使用和网络协议的缺陷。协议定义了网络上计算机会话和通信的规则,若协议本身就有问题,无论实现该协议的方法多么完美,它都存在漏洞。安全服务是网络系统的关键服务,它的某个部分失去效用就代表系统会更加危险,就会导致更多服务的失控甚至是系统自身瘫痪。因此必须将这些关键服务的失效控制在用户许可的范围内。可生存性的研究必须在独立于具体破坏行为的可生存性的基本特征上进行理论拓展,提升系统的容错率来减少系统脆弱性,将失控的系统控制在可接受范围内,通过容侵设计使脆弱性被非法入侵者侵入时,尽可能减少破坏带来的影响,替恢复的可能性创造机会。
(四)网络的可管理性
目前网络已成为一个复杂巨大的非线性系统,具有规模庞大、用户数量持续增加、业务种类繁多、协议体系复杂等特点。这已远超设计的初衷,这让网络管理难度加大。网络的可管理性是指在内外干扰的网络环境情况下,对用户行为和网络环境持续的监测、分析和决策,然后对设备、协议和机制的控制参数进行自适应优化配置,使网络的数据传输、用户服务和资源分配达到期望的目标。现有网络体系结构的基础上添加网络管理功能,它无法实现网络的有效管理,这是因为现有的网络体系与管理协议不兼容。可信网络必须是可管理的网络,网络的可管理性对于网络的其他本质属性,如安全性、普适性、鲁棒性等也都有着重要的支撑作用。“网络管理”是指对网络情况持续进行监测,优化网络设备配置并运行参数的过程,包括优化决策和网络扫描两个重要方面。研究管理性是通过改善网络体系中会导致可管理性不足的设计,达到网络可管理性,实现网络行为的可信姓,再解决网络本质问题如安全性、鲁棒性、普适性、QoS保障等,提供支撑,使网络的适应能力加强。
四、结论
综上所述,互联网有着复杂性和脆弱性等特征,当前孤立分散、单一性的防御、系统补充的网络安全系统己经无法应对具有隐蔽多样可传播特点的破坏行为,我们不可避免系统的脆弱性,可以说网络正面临重要的挑战。我国网络系统的可信网络研究从理论技术上来说还处于初级阶段,缺乏统一的标准,但是它己经明确成为国内外信息安全研究的新方向。随着大数据的到来,全球的头脑风暴让信息技术日新月异,新技术带来的不只有繁荣,同时也带来异化。昨日的技术已经无法适应今日的需求,从以往的例子中可以得知信息安全的灾难是广泛的、破坏性巨大、持续的,我们必须未雨绸缪并且不停地发展信息安全的技术与制度来阻止悲剧的发生。信息异化带来的信息安全问题是必不可免的,它是网络世界一个严峻的挑战,对于可信网络的未来我们可以从安全性、可控性、可生存性来创新发展,新的防御系统将通过冗余、异构、入侵检测、自动入侵响应、入侵容忍等多种技术手段提高系统抵抗攻击、识别攻击、修复系统及自适应的能力,从而达到我们所需的实用系统。可以通过下述研究方向来发展可信网络:
(一)网络系统区别于一般系统的基本属性
之一是复杂性,网络可信性研究需要通过宏观与微观上对网络系统结构属性的定性,定量刻画,深入探索网络系统可靠性的影响,这样才能为网络可信设计、改进、控制等提供支持。因此,以复杂网络为基础的可信网络会成为一个基础研究方向。
(二)网络系统区别于一般系统的第二个重要属性
是动态性,其包含网络系统历经时间的演化动态性和网络失去效用行为的级联动态性。如今,学术上对可信网络静态性研究较多,而动态性研究较少,这无疑是未来可信网络研究的一大方向。
安全网络论文篇(10)
1.引言
目前数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。国家电力数据网一级网从1992年2月一期工程开始规划建设,到1997年7月二期工程开通运行,迄今已有近十年的发展历史。目前国家电力数据网同时承载着实时准实时控制业务及管理信息业务,虽然网络利用率较高,但安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,并且存在较多的安全隐患。随着信息与网络技术的发展,计算机违法犯罪在不断增加,信息安全问题已经引起了政府部门和企业的高度重视。因此根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度系统的安全防护体系具有十分重要的意义。
2.电力系统中各类网络应用的特点
电力系统中网络应用的分类方法有许多种,根据业务类型、实时等级、安全等级等因素,电力系统的网络应用主要可分为生产数据传输和管理信息传输两大类,另外其他的应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求,如图1所示。
图1基于数据网络的应用系统对安全性的要求
生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。
话音视频类业务是指建立在IP平台上的电话及会议电视,对实时性要求高,安全可靠性无特殊要求,目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
3.调度自动化系统的安全防护
3.1制定调度自动化系统安全防护策略的重要性
近年来调度自动化系统的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力市场技术支持系统和调度生产管理系统等。数据网络是支持调度自动化系统的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。
建立调度自动化系统的安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全措施,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调度自动化系统的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同特殊要求,按照国家有关部门的规定,从应用系统的各个层面出发,制定完善的安全防护策略。
3.2信息系统的安全分层理论
一个信息系统的安全主要包含五个层面,即物理安全、网络安全、系统安全、应用安全、人员管理。调度自动化系统的安全防护体系应包含上述五个层面的所有内容。
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
应用安全是指主机系统上应用软件层面的安全。如Web服务器、Proxy服务器、数据库等的安全问题。
人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
3.3国家对网络及信息安全问题的有关政策和法规
国家有关部门对安全问题的有关政策和法规,对制定电力调度控制系统的安全策略起到指导性的作用。
公安部是国家企事业单位及公共安全的主管部门,已经颁布了安全防护方面的一系列文件,正在制定安全保密和保护的等级,规定各部门应根据具体情况决定自己的安全等级,实行国家强制标准。公安部规定,从安全保密角度看,政府办公网应与外部因特网物理隔离,并认为自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数据网络。
国家保密局是国家党政机关安全保密方面的主管部门,也颁布了一系列安全保密方面的文件。1998年10月国家保密局颁布的“涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法”规定,涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,系统集成方案和信息保密方案不可混淆,应从整体考虑。1999年7月国家保密局发出的“关于加强政府上网信息保密管理的通知”、1999年12月10号文“计算机信息系统国际联网保密管理规定”和1998年1号文“计算机信息系统保密管理暂行规定”均确定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
1996年11月原电力部、国家保密局752号文“电力工业中国家秘密及具体范围的规定”明确了电力工业中涉及的国家秘密和重要企业秘密,均必须参照国家有关保密方面的规定。
电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务应该隔离,特别是电力调度控制业务是电力系统的命脉,一定要与其他业务有效安全隔离。
3.4调度自动化系统数据网络的安全防护策略
3.4.1数据网络的技术体制
规划数据网络技术体制和电力系统安全防护体系,应根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术体制。
从应用和连接方式来看,企业内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,主要面临内部的计算机犯罪问题,如违规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。
由于电力调度数据网的服务对象、网络规模相对固定,并且主要满足自动化系统对安全性、可靠性、实时性的特殊需求,为调度自动化系统提供端到端的服务,符合建设专网的所有特征,所以电力调度数据网宜在通道层面上建立专网,以实现该网与其他网的有效安全隔离。
目前国家电力数据网同时承载着调度控制业务和管理信息业务,应当在将来通道资源允许的条件下,将现有电力调度数据网上的信息业务逐步分离出去,改造成为实时控制业务专用的数据网络。
电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调度数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
(1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
(2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
(3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
(4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
(5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
(6)充分利用SPDnet的现有设备,节约大量资金,便于平滑过渡。
3.4.2调度专用数据网络的安全防护措施
调度专用数据网除了传送EMS数据外,还传送电能量计量计费、水调自动化、电力市场信息和调度生产信息(工作票和操作票、发电计划和交易计划、负荷预报、调度报表、运行考核等)。应根据各类应用的不同特点,采用不同的安全防护措施,如EMS等实时控制业务具有较高的优先级,应该优先保证,生产信息的优先级次之,而电力市场信息须进行加密处理等。
采用调度专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调度数据专用网络还必须做到技术措施和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
(一)对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
(二)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
(三)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
(四)聘请网络安全顾问,跟踪网络安全技术。
在技术措施方面,要做到:
(一)在网络传输层,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(OA/MIS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(单向门)、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上,根据不同的业务系统,还可采取以下技术手段:
(1)网络安全访问控制技术。通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有:防火墙、VPN设备、VLAN划分、访问控制列表、用户授权管理、TCP同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
(2)加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
(3)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
(4)备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
(二)在系统和应用层面,包括计算机防病毒技术、采用安全的操作系统(达B2级)、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。
4.结论
电力调度数据网络是调度自动化系统的支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。目前,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,对于调度自动化系统及数据网络的安全防护措施,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调度专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调度专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理措施,以确保电力调度系统和电力系统的安全。
参考文献:
1.余建斌.黑客的攻击手段及用户对策.北京:人民邮电出版社,1998年
2.OthmarKyas著.王霞,铁满霞,陈希南译.网络安全技术-风险分析、策略与防火墙.北京:中国水利水电出版社,1998年
3.赵遵廉等主编,电力市场运营系统,北京:中国电力出版社,2001年1月
安全网络论文篇(11)
随着互联网的飞速发展,城市人民的生活基本进入信息化时代,人们不管是网上购物,还是在线聊天等,或多或少了一些个人信息。甚至我国很大一部分的企业关键信息都存储于网络,因此网络是信息传递和存储的载体,它的正常运行有效地保证了用户信息的安全。网络信息安全主要涵盖网络信息安全、传输安全和内容安全三个方面,网络数据传播的渠道方式以及传播的信息内容是否真实可靠。基于我国网络安全基本情况,所谓网络安全,主要体现在从以下四个方面:网络信息数据的完整性、保密性以及共享数据的可控性和可用性。每一个安全特征都需要每个网络用户自觉维护,才能实现。本文根据网络安全要求及其特征,对目前网络安全做了体现架构分析。根据用户群体的不同将网络划分为五个层次,分别为应用和保密基础层、应用群体、用户群体、系统群体以及网络群体。目前,本文所提的五层网络安全体系在全球范围内已经得到了公认,并且也已经成功应用在网络安全产品之中,五层网络安全体系主要涵盖五层,下面针对每层的安全性问题做简要分析。
1.1.1网络层的安全性
网络信息和传输是否能得到控制是网络层安全性的核心问题,网络用户通过固定的IP地址进入网络系统,而网络则对此IP地址传输的数据进行检查,查看信息内容是否安全,安全则允许传输,否则屏蔽。目前网络安全性提高方法主要由两种:防火墙产品和VPN(虚拟专用网)。
1.1.2系统的安全性
网络系统中的安全性主要包括两个方面:第一是非法黑客对网络系统的入侵和破坏;第二是传统病毒对网络系统的入侵和破坏。病毒是一种可复制性、具有攻击型可执行文件,这些病毒的源头是非法程序员通过网络散布的、破坏正常文件的可执行文件;黑客是通过非法渠道进入网络系统窃取他人资料;这两种方式都是破坏系统安全性的渠道。
1.1.3用户操作安全性
目前,网络数据主要分为两种,一种是静态数据;一种是动态数据;而用户都是通过静态数据进行校验,登录系统,但往往由于用户操作失误或遗失账号密码,导致系统出现漏洞,给非法用户提供了侵入系统接口。
1.1.4应用程序的安全性
应用程序安全性主要涉及两个方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。即合法用户通过应用程序操作合法数据。
1.1.5数据的安全性
数据作为整个架构层次的核心部分,其保存前、中和后都需要进行加密,充分保证数据的安全性,即使在数据被窃后。通过数据加密等措施,即使数据丢失,也可以让非法入侵者得到的是加密文件,无法了解其信息内容。上述的五层安全体系并非孤立分散。他们是有机的结合体,通过互相的数据共享和联通,形成整个网络体系架构,以上便是本文所设计及介绍的五层网络安全体系。
1.2安全技术分析
从上个世纪网络盛行时,网络安全就被世人所关注,针对网络漏洞和病毒,科学家和研究者制定出各种协议和规则,甚至研究出各种网络安全技术,下面就几种成熟的网络安全技术进行分别介绍。
(1)防火墙技术。
防火墙作为一种网络数据核查软件,很好的杜绝了网络用户通过非法渠道获取其他网络用户信息,它通过分包和IP地址并行校验机制,对外来数据进行一一检查,此种技术很好的保障了内部数据的安全性。目前,防火墙技术主要是分组过滤和服务两种类型,它们的主要宗旨是保护外来非法数据对本地数据的入侵和破坏,防火墙技术是一种真正保证本地数据的有效工具,它通过固定的网络协议对往来电子邮件进行过滤,使进出数据都得到了很好的检验。
(2)应用网关。
应用网关主要是针对网络数据传输过程中的数据包进行过滤,一般与防火墙技术组合使用,防火墙将数据包送至应用网关,应用网关可以被用来处理电子邮件,远程登录,及文件传输。
(3)虚拟私人网络。
虚拟网络主要是为一些用户专门访问而成立的技术,因此可以在Internet上建立自己的虚拟私人网络是一个安全的策略。通过路由器,虚拟链接就形成了。这样就可以由用户建立一个专内网络,进行数据交换,形成内部网络。由此可见,通过这种手段来保护数据的安全。
(4)数据加密技术。
为防止数据被外部非法用户所窃取的另外一个重要技术就是数据加密技术,它也是目前最为常用,而且安全性和可靠性非常高,数据加密技术主要包括密钥机制、数据传输、存储和完整性等。数据传输加密技术。数据存储加密技术。数据完整性鉴别技术。密钥管理技术。
(5)智能卡技术。
智能卡技术主要是对存储数据的磁盘进行管理,在存储空间设置授权机制,非授权数据和非授权的操作用户都将无法与智能卡进行交互,这种方式充分保障了智能卡总的数据安全性,适合独立和重要数据保护应用技术之一。
2.数据加密
2.1数据加密技术
加密技术是保证某些信息只有目标接收人才能读懂其含义的一种方法。所有的加密技术都要使用算法,算法是一种复杂的数字规则,被设计用来搅乱信息,以防止第三者对信息的截获。密码体制技术是研究通信安全保密的学科,它由密码编码学和密码分析学两部分组成。密码编码学是研究对信息进行变换,以保护信息在传送过程中不被第三方窃取、解读和利用的方法,它涉及对数据的保护、控制和标识。密码分析学研究如何分析和破译密码,二者既相互对立,又相互促进。加密算法的抗攻击能力可用加密强度来衡量,加密强度由三个因素组成:算法强度、密钥的保密性、密钥长度。加密技术是信息安全系统中常用的一种数据保护工具,而这种加密技术可用在交易过程中使用,加密体制无外乎分为两种,一种是对称加密,另一种是非对称加密体制。除了这两种加密体制外,还包括了哈希技术和数字签名技术。这些加密技术都在五层体系架构中发挥着重要的作用。
(1)对称加密/对称密钥加密/专用密钥加密体制。
如果使用对称加密方式,相同的密钥被使用在信息加密和解密的过程中,加密算法可以通过使用对称加密方法将其简化,每个贸易方都采用相同的加密算法并只交换共享的专用密钥,而不必彼此研究和交换专用的加密算法。
(2)非对称加密/公开密钥加密。
非对称加密和公开密钥加密同属一个意思。即在这种加密体制中,密钥被分解为一个加密密钥和一个专用的解密密钥。非对称加密算法中最著名的就是RSA算法,它的优点是加密复杂度高,不易破解,但他的缺点是运行速度慢。因此在实际加密过程中基本不采用此种加密算法。对应加密量大的应用,公开密钥加密算法通常用于对称加密方法密钥的加密。
2.2密钥安全分析
密钥是数据加密技术中的核心算法点,本文所讨论的五层架构体系中所有的数据传输和存储及访问,都基于数据加密技术的支持,随着技术的发展,加密技术不断完善,但完成安全的数据通讯,仅仅有加密和解密算法还是不够的,还需要有安全的密钥分配协议的支持。在网络数据传输过程中,采用公钥密码系统有较好的安全性,但加密解密的速度慢,而私钥虽然速度快,但不安全,因此密钥分配协议(简称KDP)是一种增强加密和解密的安全性。目前,世界存在的密钥分配协议有两种,一种是基于单一网络的密钥分配协议;一种是基于网络时钟同步的网络密钥分配协议;还有一种是基于层次的KDP。但这三种协议由于种种原因(必要前提、不可修补等)而不能长时间应用与数据加密技术中。
2.3可修补密钥分配协议
本文基于数据加密技术和网络安全的五层体系架构考虑,设计一种可替补的密钥分配协议方法,通过此协议,增加数据加密密钥的合理性和减小密钥丢失的风险性,提高网络安全性能。所谓密钥可修补分配协议的重点在于当一个密钥由于病毒、黑客或用户误操作而导致的系统漏洞,因此系统就出现各种被恶意破坏的可能存在,目前部分密钥分配协议中采用新密钥代替被泄露的密钥,但也无法保证没有了安全漏洞。而本文所设计的密钥分配协议不仅能取代泄露的密钥,而且可使系统恢复至初始,此种协议被称为可替补协议。
